Controllo del server Windows su Amazon Web Services

Naviga le tue risposte
2

Il nostro sito è conforme allo standard ISO-27001. Come parte della conformità, ci è stato consigliato di non utilizzare RDP per connettersi al server, ma piuttosto di scegliere un server cloud che fornisca un'interfaccia web.

Il nostro attuale server cloud utilizza NoVNC.

Qual è il modo consigliato di ISO-27001 di connettersi ai server Windows su Amazon?

Poiché Amazon stessa è conforme allo standard ISO-27001 dal 2010, link quindi immagino che Amazon fornisca un RDP più sicuro rispetto ai normali server cloud, oppure potrebbe essere che il nostro advisor per gli standard ISO-27001 sia troppo rigido.

Tuttavia, un ulteriore vantaggio di NoVNC (al contrario di RDP) è che mettiamo Bitlocker sui dischi rigidi del server, e quindi se il server si riavvia ed è in attesa della password di Bitlocker, allora possiamo ripararlo tramite NoVNC . Inoltre, se il desktop remoto non funziona per qualsiasi motivo, allora NoVNC può essere utile. (Nota, apprezzo che Bitlocker su Amazon Server potrebbe non essere così semplice e Amazon ha il proprio metodo di crittografia dei dischi rigidi. link )

    
posta gordon613 30.05.2018 - 13:12
fonte

1 risposta

3

Prima di tutto: ISO / IEC 27001 è la norma che specifica i requisiti per la creazione, l'implementazione, la manutenzione e il miglioramento continuo di un sistema di gestione della sicurezza delle informazioni. I controlli di sicurezza sono specificati in ISO / IEC 27002.

In generale, le serie ISO 27000 (incluse ISO / IEC 27001 e 27002) non consigliano prodotti o determinate tecnologie da utilizzare per l'implementazione di un controllo. Un tipico controllo nella norma è descritto in modo piuttosto astratto. Ecco un esempio (tradotto gratuitamente dalla versione tedesca):

13.2.1 Guidelines and procedures for the transmission of information

Formal transmission policies, procedures and measures should be in place to protect the transmission of information for all types of communication devices.

Instructions for implementation

In the context of the procedures and measures to be followed when using communication facilities for the transmission of information, the following points should be taken into account:
(a) developing procedures to prevent transmitted information from being intercepted, copied, altered, diverted or destroyed;
(b) methods of detection and protection against malware transmitted through the use of electronic communications equipment (see 12.2.1);
(c) procedures for the protection of transferred sensitive electronic information, which are in the form of an annex; [...]1

Quindi, per rispondere alla tua domanda: non c'è un un vero "metodo di connessione conforme ai requisiti ISO-27001 per Windows Server su Amazon", perché non si fa menzione di quale tecnologia, protocollo o prodotto dovrebbero essere usato. Questo è qualcosa che dovresti decidere, ma ciò che è importante qui è che alla fine dovrebbe adattarsi alle descrizioni di un controllo. Quindi, ad esempio, RDP può essere usato in modo sicuro, ma hai molte cose da fare che possono essere complicate.

Per tornare al tuo esempio: l'utilizzo di un provider cloud è abbastanza semplice e l'utilizzo di uno che è certificato ISO 27001 è anche un vantaggio nella tua verifica. Per ottenere la certificazione, dovrai leggere le norme, comprenderle e solo successivamente implementare un controllo che soddisfi i requisiti del tuo ambito.

1: citazione tratta da DIN ISO / IEC 27002: 2016-11

    
risposta data 30.05.2018 - 14:20
fonte

Leggi altre domande sui tag

Come può un vecchio hardware portare a un errore di sicurezza? Esistono implementazioni Linux ChaCha20-Poly1305 affidabili per la crittografia del flusso?